0x00 楔子

近日,小明有了一桩烦心事,扰的他寝食难安。原来是女神的某安卓手机出了怪病,短信收不到,发出去别人也收不到,更可气的是女神用来准备网购的钱都被神秘刷走。当女神满心焦躁翻遍通讯录时,蓦然发现了小明的备注:千斤顶17号-电脑、刷机。于是在女神可怜巴巴大眼睛的注视下,小明把胸脯拍的山响,承诺一天搞定。

于是,小明拿到了梦寐以求的女神手机。可没想到,后面发生的事让他始料未及。

0x01 锁定元凶

拿到手机的第一件事,就是找到收不到短信的原因。翻了翻系统短信设置和APP,装的东西都很正常,没有发现可疑的空白图标,用软件管理工具查看,也没有发现可疑的迹象。于是小明从系统程序开始排查,果不然,在打开“谷歌商店”时,发现了狐狸尾巴。

如下图所示,第一,在未联网时点击这种APP会提示“手机无法联网”。

手机无法联网这种APP

第二,在联网时点击这种APP会提示一大堆权限要求和出现“网络正常”提示

在联网时点击这种APP会提示一大堆权限要求和出现“网络正常”提示

看到这,小明笑了,这不就是最正火的短信拦截马嘛。于是果断把手机通过豌豆荚导出目标APK文件包。如图所示

伪装的 Google Play

APK文件包属性

看着桌面上不到100KB的短信马,小明默默的系上了围裙(安卓虚拟环境),找出了手术刀(反编译工具dex2jar+Xjad),把马儿按到在解剖台(Eclipse)上。

apk反编译工具

0x02 庖丁解牛

首先,小明把APK文件解压,然后找到关键的classes.dex文件。他是APK文件的java源码编译文件。

把APK文件解压,然后找到关键的classes.dex文件

然后把classes.dex 拷贝到dex2jar目录下,然后cmd进入dex2jar目录后再输入:dex2jar.bat classes.dex 回车,同目录下就得到我们想要的源码包:classes_dex2jar.jar

classes_dex2jar.jar

classes_dex2jar.jar

再请出我们的jar反编译Xjad,点击文件-反编译jar-选择上把生成的jar文件,就会反编译成源码文件夹。

反编译成源码文件夹

反编译成源码文件夹

到这一步,我们的牛算是初步分解成功了,下面就是如何找出我们要的菲力牛排~

0x03 轻抚菊花

反编译后分析出木马和后台交互是通过调用c#的WebService协议,而且菊花的IP是加密的,调用代码图如下: 

IP是加密

直接把加密代码,按图索骥找到加密函数后,反编译过来发现如下:

找到加密函数

运行后,直接爆到服务器端的地址http://103.X.X.X/priv1/baseservice.asmx

至此,找准了菊花的所在。下面开始研究爆菊啦

0x04 长驱注入( 爆菊部分由sql test大牛完成)

既然找到后台地址了,下面怎么来拿下这后台,这是头疼的问题,用工具扫描了下没发现什么漏洞,本人能力有限。看样子只能从站点下手了,重新整理下思路,把http://103.X.X.X/priv1/baseservice.asmx输入到浏览器发现

输入到浏览器发现

有这么几个方法,既然有方法可以我直接用下,打开程序引用了WebService 代码如下:

WebService

本来想试试XSS ,用AddCall方法插入到数据库,代码如下

AddCall方法

调用了下发现报错

报错

无语了,既然有SQL 注入,下面我们来说下这WebService SQL 注入。

挑选了一个获取方法getOrders ,调用的时候把参数加了一个单引号提示MYSQL错误,这注入点也太多了吧

以下就改造了查询语句

查询语句

返回了XML:

<?xml version="1.0" encoding="UTF-8"?><RootJob><Job><Type>9</Type><Content>3</Content><Phone>2</Phone><JobID>1</JobID></Job></RootJob>

这个一看就知道了,下面的步骤就不详细写,是root注入。

写入一句话,目标是IIS,我也没找到目录程序目录,直接试了C:\Inetpub\wwwroot 写了一个Aspx马上去了,在浏览器上访问成功了。

写了一个Aspx马上去

基本上完成了,剩下的就是提权了,在一个朋友的帮助下提权成功。

0x05 扩大战果

这时已经通过mysql拿到了服务器的权限,查看注册表发现端口是55555,服务器版本为2003R2,加了个用户就进去看看。

加了个用户就进去看看

东西不复杂,IIS+mysql+C#的WebService

IIS+mysql+C#的WebService

把mysql做了个远程,本地连上看看。一看之下,这个团伙通过短信马监控到被害者的内容令小明大吃一惊。

mysql

在SO这个库里,小明发现N多受害人的信息,包括大额的银行转账提示。如果这种短信被拦截的话,那后果可想而知。

发现N多受害人的信息,包括大额的银行转账提示

0x06 挖掘产业链

但凡一个行业必须是有利可图的,小明既然发掘到了源头,就逆流而上,去深挖一下,安卓短信拦截马的整个产业链条。

说干就干,小明在电脑上输入短信拦截马、短信马 出售等相关关键词,发现有很多人在发布相关的需求。

很多人在发布相关的需求

而是各种地下论坛里,很多相关求马的帖子。

他们买来主要就是为了诈骗。

或冒充熟人诈骗,或为了诱骗网银,或为了某些不可告人的秘密勾当。

随机找了个例子。

很多人在发布相关的需求

小明通过对代码的分析,发现短信马的运行方式是这样的。

一旦安装了木马的手机,并授权给木马后,木马会立刻上传受害手机的通讯录。该手机的所有短信来往都会发给指定的手机号,而且该手机号可以使用代码,来指挥木马进行伪造短信。从而实施诈骗的目的

短信马的运行方式

短信马的运行方式

[原文地址]

相关内容:

探秘短信马产业链-从逆向到爆菊

探秘伪基站产业链

您的工商银行电子密码器将于次日失效?伪基站垃圾短信,网银钓鱼诈骗!

关于伪基站的一些问题:信号覆盖范围?设备成本?是否违法?教程资料?

抛砖引玉,扒扒伪基站那些事

伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!

【讨论】伪基站、圈地短信设备是怎么做出来的?

GSM Hackeing 之 SMS Sniffer 学习

阴谋论:政府通过手机基站的电子精神控制

怪异!10086短信接口泄露?10086发博彩、赌博短信

“伪基站”任意冒用手机号短信诈骗

为抓小偷 俄警方在地铁安装能读取乘客手机信息的设备,这是啥技术?

山西破获首起“伪基站”案件

保护自己之手机定位信息收集

请教关于手机IMEI定位的问题

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)

GNU Radio USRP OpenBTS 小区短信 区域短信

一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截

陌陌猥琐流定位妹纸精准位置 有图有真相 + 安卓工具

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

如果大量短信攻击会不会造成拒绝服务,导致手机接不进电话?

iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器

Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗

iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号

德安全专家破解GSM加密算法 GSM网络破解 监听全球40亿部手机

黑客在Defcon建立私人电话网络 - DEFCON 忍者 GSM 网络

支付宝错发中奖短信 送236台iPad2

男子侵入上海移动平台群发广告短信牟利获刑

GSM蜂窝基站定位基本原理浅析

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

相关讨论:

xsser | 2013/12/16 17:09 | #

@公安部 抓坏人

国士无双 | 2013/12/16 17:13 | #

@坏人 快跑!

国士无双 | 2013/12/16 17:12 | #

感谢@sql test 的倾情加盟,特此鸣谢!

瞌睡龙 | 2013/12/16 17:21 | #

@国士无双 @sql test

干的很漂亮~

Finger | 2013/12/16 19:12 | #

@公安部 抓 @坏人

xiaogui | 2013/12/16 20:13 | #

很精彩!

墨水心_Len | 2013/12/17 00:05 | #

赞~

简单做下关联

关于手机应用安全的一些个人感悟

http://zone.wooyun.org/content/1871

WebView中接口隐患与手机挂马利用

http://drops.wooyun.org/papers/548

国士无双 | 2013/12/17 17:45 | #

非常给力!多谢支持!

墨水心_Len | 2013/12/17 00:09 | #

赞~

本来想贴几个链接做下关联呢,貌似行不通啊 @xsser

大胖子 | 2013/12/17 08:50 | #

很厉害哇

Mr.Anderson | 2013/12/17 09:47 | #

一气呵成。

無情 | 2013/12/17 10:15 | #

很厉害哇

膜拜了,

肉肉 | 2013/12/17 11:58 | #

膜拜

小胖子 | 2013/12/17 14:18 | #

给跪

国士无双 | 2013/12/17 17:45 | #

给舔

子墨 | 2013/12/18 09:23 | #

学习

核攻击 | 2013/12/18 11:31 | #

Nice! 阅 √

jk_影 | 2013/12/18 12:53 | #

牛逼啊,想知道注入那个地方是如何完成的 通过浏览器可直接提交数据注入吗?

园长 | 2013/12/18 13:20 | #

写的灰常不错!很有想法。

ice | 2013/12/18 13:35 | #

小明这节奏是要断黑产的活路啊...

留言评论(旧系统):

yueyan @ 2013-12-18 15:49:55

真是一篇好文章,用诺基亚功能机多年,不仅能咋核桃还可以不中马。现在的安卓就如windows样成为了养马场!!!

本站回复:

是滴……

佚名 @ 2013-12-20 14:44:03

楼上的回答乐死我了。。。

本站回复:

……